Новость от 11.03.2024
Игорь Чудин, директор по кибербезопасности ITD Group, и Максим Пятаков, сооснователь CtrlHack, опубликовали статью о концепции Continuous Threat Exposure Management, CTEM, на портале ANTI-MALWARE.
Динамика роста киберрисков вынуждает компании менять подход к обеспечению ИБ с реактивного на проактивный. Gartner разработал под это целую концепцию — «непрерывное управление киберугрозами» (Continuous Threat Exposure Management, CTEM). Давайте разберёмся, что она собой представляет и так ли революционен её дух, как утверждает Gartner.
Введение В 2022 году агентство Gartner впервые заговорило о CTEM, сделав акцент на том, что это не класс продуктов или решений, а программа, концепция, стратегический подход, который должен стать базовым для компаний, стремящихся минимизировать риски и сократить количество ИБ-инцидентов в разы.
В 2023 году CTEM был внесен в топ трендов кибербезопасности Gartner со следующим комментарием: «Современные компании обладают огромным количеством потенциальных уязвимостей, настолько огромным, что для их “закрытия” требуется слишком много сил и ресурсов. Задача CISO — совершенствовать методы их оценки, чтобы понять реальный уровень защищённости от угроз. Для этого и нужна программа Continuous Threat Exposure Management (CTEM). Gartner прогнозирует, что к 2026 году организации, которые будут инвестировать в безопасность на основе результатов анализа в рамках реализации программы CTEM, сократят количество инцидентов на две трети».
Что же такое CTEM? Настолько ли революционна программа непрерывного управления противодействием угрозам, как её позиционирует Gartner?
Continuous Threat Exposure Management — это парадигма управления киберрисками, которая предусматривает проактивный и итеративный подход к выявлению и анализу источников опасности, а также к снижению уровня угроз ИБ благодаря непрерывному циклу конкретных шагов: идентификации площади атаки, обнаружения уязвимостей, их приоритизации, последующей валидации и подготовки плана реагирования на случай инцидента.
Тут два основополагающих момента — глубокая аналитика и цикличность. Другими словами, речь идёт о бесконечном процессе, связанном с поиском угроз и подготовкой плана реагирования.
Директору по ИБ (CISO) следует взглянуть на компанию глазами злоумышленника. Мы привыкли смотреть на инфраструктуру с позиции защищающегося и не в состоянии представить, что увидит хакер в нашей системе, какие действия он будет выполнять, до каких ресурсов сможет добраться. Рекомендация Gartner заключается в том, чтобы непрерывно оценивать защиту компании всеми доступными способами, в том числе имитируя атаки, и не ограничиваться теми данными об уязвимостях, которые уже есть в наличии.
Важно, что при оценке рисков, по наставлению Gartner, следует соотносить техническую уязвимость с бизнес-приоритетами. Выводы, полученные в ходе анализа, должны стать основой для разработки графика устранения уязвимостей. Получается, что определять последовательность закрытия брешей должны заинтересованные лица как со стороны технических подразделений, так и со стороны бизнеса.
Итак, как уже упоминалось, программа CTEM состоит из пяти шагов. Расскажем о них подробнее.
Продолжение статьи – по ссылке.